Igor
¯\_(ツ)_/¯
Igor
> прихожу я на сервер к проекту с docker-compose, смотрю что где лежит,
Igor
вообще, похоже, придётся всё остановить и пересоздать, а не искать причину.
Oleksandr
вообще, похоже, придётся всё остановить и пересоздать, а не искать причину.
docker volume ls можно?
Igor
там стопицот вольюмов с именами в виде хешей и одинокий postgresql_data
Oleksandr
volumes:
volume_name:
name: docker_volume_name
Oleksandr
по идее в этом проблема
Oleksandr
надо попробовать добавить имя
Oleksandr
ну и почитать https://github.com/docker/compose/issues/3731
Oleksandr
там и про _ в именах есть
Igor
хорошо, спасибо
Andrey
ну так у него же локальный волум, так что какая разница что DO это не поддерживает :)
Andrey
кстати, лыбопытно, а они там вот эти плагины и всё такое перепилили, как с год назад обещали, или забили как обычно :)
Anonymous
hi guys)
подскажите как сделать чтобы контейнер пере собирался при изменении файла.
Dmitrii
Автоматически, когда ты сохраняешь свои изменения?
Aleksey
hi guys)
подскажите как сделать чтобы контейнер пере собирался при изменении файла.
inotify ? icron ? не праивльный подход ?
Denis
imac
Denis
imax !
Maksim
Помогите с сертификатами для Registry разобраться. Не понимаю чего не хватает.
Maksim
Maksim
10.66.80.47 - это мой IP
Maksim
Видимо мой компьютер не принимает самоподписной сертификат? Его нужно установить вручную или что?
Andrey
Минутка юмора в цитатах "Docker создавался с учетом требований безопасности"
Oleksandr
Минутка юмора в цитатах "Docker создавался с учетом требований безопасности"
ну почему, нормальное утверждение
🇷🇺 Роман
Видимо мой компьютер не принимает самоподписной сертификат? Его нужно установить вручную или что?
у меня tls endpoint на nginx, который дальше проксит запросы в registry
🇷🇺 Роман
nginx же выполняет аутентификацию
🇷🇺 Роман
Видимо мой компьютер не принимает самоподписной сертификат? Его нужно установить вручную или что?
docker работает только с сертификатами, которым есть доверие, поэтому нужно корневой сертификат локального центра сертификации сунуть на все хосты, с которых планируется работать с registry
🇷🇺 Роман
https://docs.docker.com/registry/insecure/#use-self-signed-certificates (пункт 3)
🇷🇺 Роман
собственно, поэтому я поставил nginx и приладил к нему let's encrypt (не захотел возиться с запихиванием этих цертов в контейнер реестра и их последующим обновлением), получилось норм...
Maksim
собственно, поэтому я поставил nginx и приладил к нему let's encrypt (не захотел возиться с запихиванием этих цертов в контейнер реестра и их последующим обновлением), получилось норм...
Тоже попробую Let's encrypt использовать. Но это не отменяет запихивание в контейнеры, вроде, нет? :)
🇷🇺 Роман
нет, запихивать ничего не нужо, центру let's encrypt доверяют все
🇷🇺 Роман
если речь о размещении сертификатов, то тоже не нужно ))
🇷🇺 Роман
https://docs.docker.com/registry/recipes/nginx/#setting-things-up
🇷🇺 Роман
без реверс-прокси, конечно, нужно церты пихать в контейнер с реестром (если реестр в контейнере)
🇷🇺 Роман
Квинтэссенция боли 😀 (вдруг кому будет интересно)
https://habrahabr.ru/post/332450/
Andrey
Да кому может быть интересно обзирать скелета или что то более истлевшее, только если в академических целях, но для этого там слишком истеричный стиль
Oleksandr
ну че. многие моменты описаны правильно. хотя по стилю статьи видно что наболело.
Maksim
без реверс-прокси, конечно, нужно церты пихать в контейнер с реестром (если реестр в контейнере)
Блин, у меня сервер снаружи не виден. Он во внутренней сети только. Можно, я так понимаю, вообще без сертификатов обойтись?
🇷🇺 Роман
без сертификатов только локально работает...
🇷🇺 Роман
docker pull/push https хочет
Alf 🙀
Сделай самоподписанный сертификат, и раскладывай его на тачки, в чем сложность?
Aleksey
собственно, поэтому я поставил nginx и приладил к нему let's encrypt (не захотел возиться с запихиванием этих цертов в контейнер реестра и их последующим обновлением), получилось норм...
Сделали аналогично, там единственное уточнение в proxy-pass необходимо передавать специальный хидер для registry
🇷🇺 Роман
Сделай самоподписанный сертификат, и раскладывай его на тачки, в чем сложность?
собственно, да... ansible, например, сильно облегчит этот момент ))
Alf 🙀
собственно, да... ansible, например, сильно облегчит этот момент ))
Да без разницы как серты доставлять, хоть пакером раскладывай
🇷🇺 Роман
Сделали аналогично, там единственное уточнение в proxy-pass необходимо передавать специальный хидер для registry
у меня схема немного сложнее, чем описана в офф доке, у меня nginx<->nginx<->registry, tls на первом nginx... эта схема не работала... я тут выше задавал вопрос, но никто не асилил ответить. впрочем, решение я сам нашел 🙂
Maksim
Сделай самоподписанный сертификат, и раскладывай его на тачки, в чем сложность?
Вопрос распихивания сертификатов напрягает. Но видимо в этом направлении и придется двигаться
🇷🇺 Роман
Вопрос распихивания сертификатов напрягает. Но видимо в этом направлении и придется двигаться
нахреновертить тучу всяких скриптов деплоя и сборки имеджей не напрягает, а такая мелкая работа, как просто скопировать один файлик в папочку - напрягла? 😀
Maksim
Напрягает то, что половина этих действий приходится как-то вручную делать. А мне хочется запустить один скрипт и чтобы он мне на новой машине развернул целый зоопарк, цирк и карусельку.
🇷🇺 Роман
чтобы на машине запустить скрипт, туда сначала надо накатить, как минимум, ось и докер с докер-композером...
🇷🇺 Роман
почему бы на этом этапе на впилить церт?
🇷🇺 Роман
у меня, например, настройка docker-ноды, после установки операционки, занимает нажатие одной кнопки 🙂
Oleksandr
у меня, например, настройка docker-ноды, после установки операционки, занимает нажатие одной кнопки 🙂
тут вопрос простой - когда надоест руками делать
Sergey
кто нибудь включал docker registry в gitlab?
Sergey
не для меня=(
🇷🇺 Роман
в чем проблема?
Sergey
сертификат обязательно нужен?
🇷🇺 Роман
да, обязательно
🇷🇺 Роман
выше как раз про сертификат разговор был, десяток постов наверх
Sergey
самоподписанный пойдет?
Oleksandr
why not?
🇷🇺 Роман
Maksim
чтобы на машине запустить скрипт, туда сначала надо накатить, как минимум, ось и докер с докер-композером...
Ну это есть уже. А вот все остальное хочется автоматически. )
🇷🇺 Роман
Ну это есть уже. А вот все остальное хочется автоматически. )
тогда ansible/puppet/etc... )))
Maksim
Но я похоже просто не понимаю принцип работы с сертификатами. У кого они должны быть, как они должны выглядеть и т.д. Видимо надо это копать сначала.
Alf 🙀
Ну это есть уже. А вот все остальное хочется автоматически. )
ну вы ос ставите же? ну ставьте серты вместе с ос.
🇷🇺 Роман
можно извращнуться при деплое скриптом, который перед основными процедурами скриптом через ssh впилит сертификат в папку и заапдейтит кеш
Sergey
такой вариант мне больше нравится
🇷🇺 Роман
нет, можешь сделать insecure registry
это правда при условии локального использования, в gitlab подразумевается распределенная работа
Gleb
/etc/docker/daemon.json
{
"insecure-registries" : ["myregistrydomain.com:5000"]
}
🇷🇺 Роман
если вся работа gitlab происходит исключительно на одном хосте (ВООБЩЕ вся), то можно попробовать инсекьюр
Gleb
да хоть 50 хостов, речь же явно о локальной сети
Sergey
да
🇷🇺 Роман
да, я вру, инсекьюр будет работать без tls совсем
Maksim
на каждый хост с докером делаешь настройку
Ага, вполне вариант. У меня пока на одном сервере, вообще все. Но чуть позже будет несколько. Но, учитывая, что все внутри защищенной сети, то заморочки с сертификатом выглядят излишними.